rules_disabled
"rules_disabled" 指令阻止 NAXSI 模块在指定的上下文中强制执行安全规则。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法rules_disabled;
默认值none
上下文http, server, location, limit_except
参数none
说明
"rules_disabled" 指令在 Nginx Anti XSS & SQL Injection module (NAXSI) 中使用,旨在提供一种机制,用于在特定上下文(例如 HTTP、server、location 或 limit_except)中禁用安全规则的应用。当在测试或开发应用时,严格遵守这些安全规则可能会阻碍合法请求,或某些路径或操作需要临时绕过安全检查时,该指令特别有用。应用该指令后,NAXSI 不会将传入请求与预定义的模式进行匹配评估,也不会阻止任何通常会被其规则捕获的潜在 XSS 或 SQL 注入尝试。
该指令不接受任何参数,使其实现非常简单。它仅根据其在指定上下文中的存在来切换规则检查功能的开关。然而,管理员必须谨慎使用此指令。如果管理不当,禁用规则可能会使应用暴露于漏洞之中,特别是在可能遭受恶意流量的生产环境中。
配置示例
http {
rules_disabled;
}
server {
location /test {
rules_disabled;
}
}⚠
在不适用的上下文中使用此指令可能导致配置错误或意外行为。
⚠
如果未妥善管理,禁用规则可能使应用程序暴露于 XSS 和 SQL 注入攻击之下。